KR102274132B1 - User authentication server that performs verification of electronic signature data generated based on biometric authentication in association with a plurality of verification servers and operating method thereof - Google Patents
User authentication server that performs verification of electronic signature data generated based on biometric authentication in association with a plurality of verification servers and operating method thereof Download PDFInfo
- Publication number
- KR102274132B1 KR102274132B1 KR1020190113354A KR20190113354A KR102274132B1 KR 102274132 B1 KR102274132 B1 KR 102274132B1 KR 1020190113354 A KR1020190113354 A KR 1020190113354A KR 20190113354 A KR20190113354 A KR 20190113354A KR 102274132 B1 KR102274132 B1 KR 102274132B1
- Authority
- KR
- South Korea
- Prior art keywords
- verification
- matrix
- authentication
- server
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
- H04L9/3231—Biological data, e.g. fingerprint, voice or retina
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/32—User authentication using biometric data, e.g. fingerprints, iris scans or voiceprints
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Biomedical Technology (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Biodiversity & Conservation Biology (AREA)
- Computing Systems (AREA)
- Life Sciences & Earth Sciences (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Collating Specific Patterns (AREA)
Abstract
복수의 검증 서버들과 연동하여 생체 인증을 기초로 생성된 전자 서명 데이터의 검증을 수행하는 사용자 인증 서버 및 그 동작 방법이 개시된다. 본 발명에 따른 사용자 인증 서버 및 그 동작 방법은 사용자 단말로부터 생체 정보 인증을 통해 생성된 전자 서명 데이터가 수신되면, 복수의 검증 서버들로부터 상태 정보를 수신한 후 상기 복수의 검증 서버들 중 소정의 기준치에 부합하는 제1 검증 서버를 선택하여 상기 제1 검증 서버로 상기 전자 서명 데이터에 대한 복호화 요청을 전송하고, 상기 제1 검증 서버로부터 상기 전자 서명 데이터에 대한 복호화 데이터가 수신되면, 상기 수신된 복호화 데이터를 기반으로 사용자가 진정한 사용자인지 여부를 인증함으로써, 전자 서명 기반의 사용자 인증 과정에서 보안성을 더욱 강화할 수 있다.Disclosed are a user authentication server that works with a plurality of verification servers to verify digital signature data generated based on biometric authentication, and a method of operating the same. The user authentication server and the method of operation thereof according to the present invention receive status information from a plurality of verification servers when electronic signature data generated through biometric information authentication is received from a user terminal, and then receive status information from a plurality of verification servers. Selecting a first verification server that meets a reference value transmits a decryption request for the electronic signature data to the first verification server, and when the decryption data for the electronic signature data is received from the first verification server, the received By authenticating whether a user is a real user based on the decrypted data, security can be further strengthened in the digital signature-based user authentication process.
Description
본 발명은 복수의 검증 서버들과 연동하여 생체 인증을 기초로 생성된 전자 서명 데이터의 검증을 수행하는 사용자 인증 서버 및 그 동작 방법에 대한 것이다.The present invention relates to a user authentication server that performs verification of digital signature data generated based on biometric authentication in conjunction with a plurality of verification servers, and an operating method thereof.
최근, 인터넷이 널리 보급됨에 따라, 온라인을 이용한 뱅킹 서비스나 결제 시스템의 도입이 활발하게 이루어지고 있다.In recent years, as the Internet is widely spread, the introduction of online banking services or payment systems has been actively carried out.
이러한 온라인 뱅킹 서비스나 결제 시스템에서는 계좌 이체나 전자 결제를 하고자 하는 진정한 사람으로부터 계좌 이체 또는 전자 결제 요청이 있는지 여부를 정확하게 판단해야 할 필요가 있다.In such an online banking service or payment system, it is necessary to accurately determine whether there is a request for an account transfer or electronic payment from a genuine person who wants to make an account transfer or electronic payment.
이러한 사용자 인증 방식 중 하나로 전자 서명을 이용한 사용자 인증 방식이 존재한다. 전자 서명을 이용한 사용자 인증 방식은 발신측에서 개인키로 소정의 데이터를 전자 서명하여 수신측으로 전송하면, 수신측에서 상기 개인키에 대응되는 공개키로 전자 서명된 데이터를 복호화함으로써, 전자 서명에 대한 검증을 수행하는 방식으로 진행된다.One of these user authentication methods is a user authentication method using an electronic signature. In the user authentication method using an electronic signature, when the sender electronically signs predetermined data with a private key and transmits it to the receiver, the receiver decrypts the digitally signed data with the public key corresponding to the private key, thereby verifying the electronic signature. in the way it is performed.
최근에는 지문 인식, 홍채 인식 등과 같이 사용자의 생체 정보를 인식할 수 있는 다양한 기기가 등장하면서, 생체 인식 기술을 활용하여 사용자 인증을 수행하는 다양한 인증 프로토콜도 제시되고 있다. 따라서, 이러한 생체 인식 기술과 전자 서명 기술을 조합하여 사용자 인증을 수행하는 기법에 대한 연구가 필요한 실정이다.Recently, as various devices capable of recognizing a user's biometric information such as fingerprint recognition and iris recognition have appeared, various authentication protocols for performing user authentication using biometric recognition technology have also been proposed. Therefore, there is a need for research on a technique for performing user authentication by combining the biometric recognition technology and the electronic signature technology.
또한, 기존의 전자 서명을 이용한 사용자 인증 방식은 중앙에 존재하는 하나의 인증 서버가 사용자 단말로부터 수신된 전자 서명을 검증하는 방식으로 운영되고 있었기 때문에 상기 인증 서버에 문제가 발생하는 경우, 보안 상의 취약성이 드러나는 문제가 있었다.In addition, the existing user authentication method using an electronic signature is operated in a way that one central authentication server verifies the electronic signature received from the user terminal, so if a problem occurs in the authentication server, security vulnerability There was an apparent problem with this.
따라서, 다수의 분산 서버들을 통해서 전자 서명을 검증하는 방식으로 보안 프로토콜을 구성함으로써, 보안성을 강화할 수 있는 기법에 대한 연구가 필요하다.Therefore, it is necessary to study a technique that can enhance security by configuring a security protocol in a manner that verifies the digital signature through a plurality of distributed servers.
본 발명에 따른 사용자 인증 서버 및 그 동작 방법은 사용자 단말로부터 생체 정보 인증을 통해 생성된 전자 서명 데이터가 수신되면, 복수의 검증 서버들로부터 상태 정보를 수신한 후 상기 복수의 검증 서버들 중 소정의 기준치에 부합하는 제1 검증 서버를 선택하여 상기 제1 검증 서버로 상기 전자 서명 데이터에 대한 복호화 요청을 전송하고, 상기 제1 검증 서버로부터 상기 전자 서명 데이터에 대한 복호화 데이터가 수신되면, 상기 수신된 복호화 데이터를 기반으로 사용자가 진정한 사용자인지 여부를 인증함으로써, 전자 서명 기반의 사용자 인증 과정에서 보안성을 더욱 강화할 수 있도록 한다.The user authentication server and the method of operation thereof according to the present invention receive status information from a plurality of verification servers when electronic signature data generated through biometric information authentication is received from a user terminal, and then receive status information from a plurality of verification servers. Selecting a first verification server that meets a reference value transmits a decryption request for the electronic signature data to the first verification server, and when the decryption data for the electronic signature data is received from the first verification server, the received By authenticating whether a user is a real user based on the decrypted data, the security can be further strengthened in the digital signature-based user authentication process.
본 발명의 일실시예에 따른 복수의 검증 서버들과 연동하여 생체 인증을 기초로 생성된 전자 서명 데이터의 검증을 수행하는 사용자 인증 서버는 복수의 사용자들 각각에 대한 사전 발급된 식별 데이터와 각 사용자에 대해 사전 발급된 개인키에 대응하는 공개키가 서로 대응되어 저장되어 있는 공개키 저장부, 사전 발급된 제1 개인키가 저장되어 있는 제1 사용자의 제1 사용자 단말로부터 상기 제1 사용자의 생체 정보가 인증됨에 따라 상기 제1 사용자에 대한 제1 식별 데이터와 상기 제1 개인키에 기초한 제1 전자 서명 데이터 - 상기 제1 전자 서명 데이터는 상기 제1 사용자 단말에서 상기 제1 사용자의 생체 정보가 인증되면, 상기 제1 사용자 단말이 상기 제1 개인키로 상기 제1 식별 데이터를 암호화하여 생성한 데이터임 - 가 수신되면서, 상기 제1 사용자에 대한 인증 요청이 수신되면, 상기 공개키 저장부로부터 상기 제1 식별 데이터에 대응되어 저장되어 있는 제1 공개키를 추출하는 공개키 추출부, 상기 복수의 검증 서버들로 미리 지정된 n(n은 2이상의 자연수)개의 상태 정보들의 전송을 요청하는 상태 정보 요청부, 상기 복수의 검증 서버들 각각으로부터, 상기 복수의 검증 서버들 각각에서 생성된 상기 n개의 상태 정보들을 수신하는 상태 정보 수신부, 상기 복수의 검증 서버들 각각으로부터 수신된 상기 n개의 상태 정보들을 기초로, 상기 복수의 검증 서버들 각각에 대해 상기 n개의 상태 정보들을 성분으로 갖는 n차원의 특성 벡터를 생성하는 특성 벡터 생성부, 상기 복수의 검증 서버들 각각에 대한 상기 n차원의 특성 벡터가 생성되면, 상기 n차원의 특성 벡터와 상기 제1 전자 서명 데이터를 복호화할 검증 서버를 선택하기 위한 기준으로 미리 지정된 n차원의 기준 벡터 사이의 벡터 유사도를 연산하는 벡터 유사도 연산부, 상기 복수의 검증 서버들 각각에 대해 생성된 상기 n차원의 특성 벡터 중, 상기 벡터 유사도가 최대로 연산되는 제1 특성 벡터를 선택한 후, 상기 제1 특성 벡터를 구성하는 상태 정보를 전송한 검증 서버인 제1 검증 서버를 선택하는 검증 서버 선택부, 상기 제1 검증 서버가 선택되면, 상기 제1 검증 서버로 상기 제1 공개키와 상기 제1 전자 서명 데이터를 전송하면서, 상기 제1 전자 서명 데이터에 대한 복호화 요청을 전송하는 복호화 요청부 및 상기 제1 검증 서버로부터 상기 제1 전자 서명 데이터에 대한 복호화 데이터로 제1 복호화 데이터가 수신되면, 상기 제1 복호화 데이터가 상기 제1 식별 데이터와 동일한지 비교하여 상기 제1 사용자에 대한 인증을 처리하는 인증 처리부를 포함한다.A user authentication server for performing verification of electronic signature data generated based on biometric authentication in conjunction with a plurality of verification servers according to an embodiment of the present invention includes pre-issued identification data for each of a plurality of users and each user A public key storage unit in which a public key corresponding to the pre-issued private key is stored in correspondence with each other, and the biometric of the first user from the first user terminal of the first user in which the pre-issued first private key is stored As the information is authenticated, first identification data for the first user and first electronic signature data based on the first private key - The first electronic signature data is the biometric information of the first user in the first user terminal When authenticated, the first user terminal is data generated by encrypting the first identification data with the first private key - is received, and when an authentication request for the first user is received, the public key storage unit A public key extraction unit for extracting a first public key stored in correspondence with the first identification data, and a state information request for requesting transmission of n (n is a natural number equal to or greater than 2) predetermined pieces of state information to the plurality of verification servers unit, a state information receiving unit receiving, from each of the plurality of verification servers, the n pieces of status information generated in each of the plurality of verification servers, based on the n pieces of status information received from each of the plurality of verification servers , a feature vector generator generating an n-dimensional feature vector having the n pieces of state information as a component for each of the plurality of verification servers, and the n-dimensional feature vector for each of the plurality of verification servers is generated If it is, a vector similarity calculator that calculates the vector similarity between the n-dimensional characteristic vector and the n-dimensional reference vector previously designated as a criterion for selecting a verification server to decode the first digital signature data, the plurality of verification servers From among the n-dimensional feature vectors generated for each, a first feature vector in which the vector similarity is calculated to a maximum is selected, and then A verification server selection unit that selects a first verification server that is a verification server that has transmitted the constituting state information, when the first verification server is selected, the first public key and the first electronic signature data are sent to the first verification server When the first decrypted data is received as decryption data for the first electronic signature data from the decryption request unit and the first verification server for transmitting a decryption request for the first electronic signature data while transmitting, the first decrypted data and an authentication processing unit configured to process authentication for the first user by comparing whether is the same as the first identification data.
또한, 본 발명의 일실시예에 따른 복수의 검증 서버들과 연동하여 생체 인증을 기초로 생성된 전자 서명 데이터의 검증을 수행하는 사용자 인증 서버의 동작 방법은 복수의 사용자들 각각에 대한 사전 발급된 식별 데이터와 각 사용자에 대해 사전 발급된 개인키에 대응하는 공개키가 서로 대응되어 저장되어 있는 공개키 저장부를 유지하는 단계, 사전 발급된 제1 개인키가 저장되어 있는 제1 사용자의 제1 사용자 단말로부터 상기 제1 사용자의 생체 정보가 인증됨에 따라 상기 제1 사용자에 대한 제1 식별 데이터와 상기 제1 개인키에 기초한 제1 전자 서명 데이터 - 상기 제1 전자 서명 데이터는 상기 제1 사용자 단말에서 상기 제1 사용자의 생체 정보가 인증되면, 상기 제1 사용자 단말이 상기 제1 개인키로 상기 제1 식별 데이터를 암호화하여 생성한 데이터임 - 가 수신되면서, 상기 제1 사용자에 대한 인증 요청이 수신되면, 상기 공개키 저장부로부터 상기 제1 식별 데이터에 대응되어 저장되어 있는 제1 공개키를 추출하는 단계, 상기 복수의 검증 서버들로 미리 지정된 n(n은 2이상의 자연수)개의 상태 정보들의 전송을 요청하는 단계, 상기 복수의 검증 서버들 각각으로부터, 상기 복수의 검증 서버들 각각에서 생성된 상기 n개의 상태 정보들을 수신하는 단계, 상기 복수의 검증 서버들 각각으로부터 수신된 상기 n개의 상태 정보들을 기초로, 상기 복수의 검증 서버들 각각에 대해 상기 n개의 상태 정보들을 성분으로 갖는 n차원의 특성 벡터를 생성하는 단계, 상기 복수의 검증 서버들 각각에 대한 상기 n차원의 특성 벡터가 생성되면, 상기 n차원의 특성 벡터와 상기 제1 전자 서명 데이터를 복호화할 검증 서버를 선택하기 위한 기준으로 미리 지정된 n차원의 기준 벡터 사이의 벡터 유사도를 연산하는 단계, 상기 복수의 검증 서버들 각각에 대해 생성된 상기 n차원의 특성 벡터 중, 상기 벡터 유사도가 최대로 연산되는 제1 특성 벡터를 선택한 후, 상기 제1 특성 벡터를 구성하는 상태 정보를 전송한 검증 서버인 제1 검증 서버를 선택하는 단계, 상기 제1 검증 서버가 선택되면, 상기 제1 검증 서버로 상기 제1 공개키와 상기 제1 전자 서명 데이터를 전송하면서, 상기 제1 전자 서명 데이터에 대한 복호화 요청을 전송하는 단계 및 상기 제1 검증 서버로부터 상기 제1 전자 서명 데이터에 대한 복호화 데이터로 제1 복호화 데이터가 수신되면, 상기 제1 복호화 데이터가 상기 제1 식별 데이터와 동일한지 비교하여 상기 제1 사용자에 대한 인증을 처리하는 단계를 포함한다.In addition, the operation method of the user authentication server for performing verification of the electronic signature data generated based on biometric authentication in conjunction with a plurality of verification servers according to an embodiment of the present invention is a pre-issued method for each of a plurality of users. maintaining a public key storage unit in which identification data and a public key corresponding to the private key issued in advance for each user are stored in correspondence with each other; the first user of the first user in which the pre-issued first private key is stored As the biometric information of the first user is authenticated from the terminal, first identification data for the first user and first electronic signature data based on the first private key - The first electronic signature data is obtained from the first user terminal When the biometric information of the first user is authenticated, the first user terminal is data generated by encrypting the first identification data with the first private key - When an authentication request for the first user is received while receiving , extracting a first public key stored in correspondence with the first identification data from the public key storage unit, and transmitting n (n is a natural number greater than or equal to 2) preset state information to the plurality of verification servers. requesting, receiving, from each of the plurality of verification servers, the n pieces of status information generated in each of the plurality of verification servers, based on the n pieces of status information received from each of the plurality of verification servers , generating an n-dimensional characteristic vector having the n pieces of state information as a component for each of the plurality of verification servers, and when the n-dimensional characteristic vector for each of the plurality of verification servers is generated, the Calculating the vector similarity between the n-dimensional characteristic vector and the n-dimensional reference vector previously designated as a criterion for selecting a verification server to decode the first digital signature data, generated for each of the plurality of verification servers Among the n-dimensional feature vectors, a first feature vector in which the vector similarity is calculated is selected, and then state information constituting the first feature vector is transmitted. selecting a first verification server that is a verification server; if the first verification server is selected, the first electronic signature data while transmitting the first public key and the first electronic signature data to the first verification server When the first decrypted data is received as the decrypted data for the first electronic signature data from the first verification server and the first decrypted data is compared whether the first decrypted data is the same as the first identification data, and processing authentication for the first user.
본 발명에 따른 사용자 인증 서버 및 그 동작 방법은 사용자 단말로부터 생체 정보 인증을 통해 생성된 전자 서명 데이터가 수신되면, 복수의 검증 서버들로부터 상태 정보를 수신한 후 상기 복수의 검증 서버들 중 소정의 기준치에 부합하는 제1 검증 서버를 선택하여 상기 제1 검증 서버로 상기 전자 서명 데이터에 대한 복호화 요청을 전송하고, 상기 제1 검증 서버로부터 상기 전자 서명 데이터에 대한 복호화 데이터가 수신되면, 상기 수신된 복호화 데이터를 기반으로 사용자가 진정한 사용자인지 여부를 인증함으로써, 전자 서명 기반의 사용자 인증 과정에서 보안성을 더욱 강화할 수 있다.The user authentication server and the method of operation thereof according to the present invention receive status information from a plurality of verification servers when electronic signature data generated through biometric information authentication is received from a user terminal, and then receive status information from a plurality of verification servers. Selecting a first verification server that meets a reference value transmits a decryption request for the electronic signature data to the first verification server, and when the decryption data for the electronic signature data is received from the first verification server, the received By authenticating whether a user is a real user based on the decrypted data, security can be further strengthened in the digital signature-based user authentication process.
도 1은 본 발명의 일실시예에 따른 복수의 검증 서버들과 연동하여 생체 인증을 기초로 생성된 전자 서명 데이터의 검증을 수행하는 사용자 인증 서버의 구조를 도시한 도면이다.
도 2는 본 발명의 일실시예에 따른 복수의 검증 서버들과 연동하여 생체 인증을 기초로 생성된 전자 서명 데이터의 검증을 수행하는 사용자 인증 서버의 동작 방법을 도시한 순서도이다.1 is a diagram illustrating the structure of a user authentication server that performs verification of electronic signature data generated based on biometric authentication in conjunction with a plurality of verification servers according to an embodiment of the present invention.
2 is a flowchart illustrating an operation method of a user authentication server that performs verification of digital signature data generated based on biometric authentication in conjunction with a plurality of verification servers according to an embodiment of the present invention.
이하에서는 본 발명에 따른 실시예들을 첨부된 도면을 참조하여 상세하게 설명하기로 한다. 이러한 설명은 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다. 각 도면을 설명하면서 유사한 참조부호를 유사한 구성요소에 대해 사용하였으며, 다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 본 명세서 상에서 사용되는 모든 용어들은 본 발명이 속하는 기술분야에서 통상의 지식을 가진 사람에 의해 일반적으로 이해되는 것과 동일한 의미를 가지고 있다.Hereinafter, embodiments according to the present invention will be described in detail with reference to the accompanying drawings. These descriptions are not intended to limit the present invention to specific embodiments, and should be understood to include all modifications, equivalents, and substitutes included in the spirit and scope of the present invention. While describing each drawing, like reference numerals are used for similar components, and unless otherwise defined, all terms used in this specification, including technical or scientific terms, refer to those of ordinary skill in the art to which the present invention belongs. It has the same meaning as is commonly understood by those who have it.
본 문서에서, 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있다는 것을 의미한다. 또한, 본 발명의 다양한 실시예들에 있어서, 각 구성요소들, 기능 블록들 또는 수단들은 하나 또는 그 이상의 하부 구성요소로 구성될 수 있고, 각 구성요소들이 수행하는 전기, 전자, 기계적 기능들은 전자회로, 집적회로, ASIC(Application Specific Integrated Circuit) 등 공지된 다양한 소자들 또는 기계적 요소들로 구현될 수 있으며, 각각 별개로 구현되거나 2 이상이 하나로 통합되어 구현될 수도 있다.In this document, when a part "includes" a certain component, it means that other components may be further included, rather than excluding other components, unless otherwise stated. In addition, in various embodiments of the present invention, each of the components, functional blocks or means may be composed of one or more sub-components, and the electrical, electronic, and mechanical functions performed by each component are electronic. A circuit, an integrated circuit, an ASIC (Application Specific Integrated Circuit), etc. may be implemented with various well-known devices or mechanical elements, and may be implemented separately or two or more may be integrated into one.
한편, 첨부된 블록도의 블록들이나 흐름도의 단계들은 범용 컴퓨터, 특수용 컴퓨터, 휴대용 노트북 컴퓨터, 네트워크 컴퓨터 등 데이터 프로세싱이 가능한 장비의 프로세서나 메모리에 탑재되어 지정된 기능들을 수행하는 컴퓨터 프로그램 명령들(instructions)을 의미하는 것으로 해석될 수 있다. 이들 컴퓨터 프로그램 명령들은 컴퓨터 장치에 구비된 메모리 또는 컴퓨터에서 판독 가능한 메모리에 저장될 수 있기 때문에, 블록도의 블록들 또는 흐름도의 단계들에서 설명된 기능들은 이를 수행하는 명령 수단을 내포하는 제조물로 생산될 수도 있다. 아울러, 각 블록 또는 각 단계는 특정된 논리적 기능(들)을 실행하기 위한 하나 이상의 실행 가능한 명령들을 포함하는 모듈, 세그먼트 또는 코드의 일부를 나타낼 수 있다. 또, 몇 가지 대체 가능한 실시예들에서는 블록들 또는 단계들에서 언급된 기능들이 정해진 순서와 달리 실행되는 것도 가능함을 주목해야 한다. 예컨대, 잇달아 도시되어 있는 두 개의 블록들 또는 단계들은 실질적으로 동시에 수행되거나, 역순으로 수행될 수 있으며, 경우에 따라 일부 블록들 또는 단계들이 생략된 채로 수행될 수도 있다.On the other hand, the blocks in the accompanying block diagram or steps in the flowchart are computer program instructions that are loaded in a processor or memory of equipment capable of data processing, such as a general-purpose computer, a special-purpose computer, a portable notebook computer, and a network computer, and perform specified functions. can be interpreted as meaning Since these computer program instructions may be stored in a memory provided in a computer device or in a memory readable by a computer, the functions described in the blocks of the block diagrams or the steps of the flowcharts are produced as articles of manufacture containing instruction means for performing the same. could be In addition, each block or each step may represent a module, segment, or portion of code comprising one or more executable instructions for executing the specified logical function(s). It should also be noted that, in some alternative embodiments, it is also possible for the functions recited in blocks or steps to be executed out of the prescribed order. For example, two blocks or steps shown one after another may be performed substantially simultaneously or in the reverse order, and in some cases, some blocks or steps may be omitted.
도 1은 본 발명의 일실시예에 따른 복수의 검증 서버들과 연동하여 생체 인증을 기초로 생성된 전자 서명 데이터의 검증을 수행하는 사용자 인증 서버의 구조를 도시한 도면이다.1 is a diagram illustrating the structure of a user authentication server that performs verification of electronic signature data generated based on biometric authentication in conjunction with a plurality of verification servers according to an embodiment of the present invention.
도 1을 참조하면, 본 발명에 따른 사용자 인증 서버(110)는 공개키 저장부(111), 공개키 추출부(112), 상태 정보 요청부(113), 상태 정보 수신부(114), 특성 벡터 생성부(115), 벡터 유사도 연산부(116), 검증 서버 선택부(117), 복호화 요청부(118) 및 인증 처리부(119)를 포함한다.Referring to FIG. 1 , the
공개키 저장부(111)에는 복수의 사용자들 각각에 대한 사전 발급된 식별 데이터와 각 사용자에 대해 사전 발급된 개인키에 대응하는 공개키가 서로 대응되어 저장되어 있다.In the public
관련해서, 공개키 저장부(111)에는 하기의 표 1과 같이 데이터가 저장되어 있을 수 있다.In relation to this, data may be stored in the public
공개키 추출부(112)는 사전 발급된 제1 개인키가 저장되어 있는 제1 사용자의 제1 사용자 단말(130)로부터 상기 제1 사용자의 생체 정보가 인증됨에 따라 상기 제1 사용자에 대한 제1 식별 데이터와 상기 제1 개인키에 기초한 제1 전자 서명 데이터가 수신되면서, 상기 제1 사용자에 대한 인증 요청이 수신되면, 공개키 저장부(111)로부터 상기 제1 식별 데이터에 대응되어 저장되어 있는 제1 공개키를 추출한다.The public
여기서, 상기 제1 전자 서명 데이터는 제1 사용자 단말(130)에서 상기 제1 사용자의 생체 정보가 인증되면, 제1 사용자 단말(130)이 상기 제1 개인키로 상기 제1 식별 데이터를 암호화하여 생성한 데이터를 의미한다.Here, when the biometric information of the first user is authenticated by the
관련해서, 제1 사용자 단말(130)에는 사용자의 지문이나 홍채 등과 같은 생체 정보를 인식할 수 있는 인식기가 탑재되어 있을 수 있고, 상기 제1 사용자가 제1 사용자 단말(130)의 인식기에 자신의 생체 정보를 인식시키면, 제1 사용자 단말(130)은 상기 제1 사용자의 생체 정보를 인증하고, 상기 제1 사용자의 생체 정보가 인증되면, 제1 사용자 단말(130)에 미리 발급되어 저장되어 있는 상기 제1 개인키로 상기 제1 식별 데이터를 암호화하여 상기 제1 전자 서명 데이터를 생성한 후 상기 제1 식별 데이터와 상기 제1 전자 서명 데이터를 사용자 인증 서버(110)로 전송할 수 있다.In relation to this, the
상태 정보 요청부(113)는 상기 제1 공개키가 추출되면, 복수의 검증 서버들(141, 142, 143)로 미리 지정된 n(n은 2이상의 자연수)개의 상태 정보들의 전송을 요청한다.When the first public key is extracted, the state
그리고, 상태 정보 수신부(114)는 복수의 검증 서버들(141, 142, 143) 각각으로부터, 복수의 검증 서버들(141, 142, 143) 각각에서 생성된 상기 n개의 상태 정보들을 수신한다.In addition, the status
특성 벡터 생성부(115)는 복수의 검증 서버들(141, 142, 143) 각각으로부터 수신된 상기 n개의 상태 정보들을 기초로, 복수의 검증 서버들(141, 142, 143) 각각에 대해 상기 n개의 상태 정보들을 성분으로 갖는 n차원의 특성 벡터를 생성한다.The
이때, 본 발명의 일실시예에 따르면, 상기 n은 3일 수 있고, 상기 n차원의 특성 벡터를 구성하는 성분인 상기 n개의 상태 정보들은 과거의 기설정된(predetermined) 기간 동안 검증 서버로 선택된 총 횟수, 현재 CPU 사용률, 현재 네트워크 트래픽 수치일 수 있다.In this case, according to an embodiment of the present invention, the n may be 3, and the n pieces of state information, which are components constituting the n-dimensional feature vector, are total selected as a verification server for a predetermined period in the past. This can be the number of times, the current CPU utilization, or the current network traffic figure.
관련해서, 3개의 상태 정보들이 과거 특정 시점의 7일 동안 검증 서버로 선택된 총 횟수, 검증 서버의 현재 CPU 사용률(%), 검증 서버의 현재 네트워크 트래픽 수치(byte)라고 하는 경우, 특성 벡터 생성부(115)는 복수의 검증 서버들(141, 142, 143) 각각으로부터 수신된 과거 특정 시점의 7일 동안 검증 서버로 선택된 총 횟수, 검증 서버의 현재 CPU 사용률(%), 검증 서버의 현재 네트워크 트래픽 수치(byte)를 성분으로 갖는 3차원의 특성 벡터를 생성할 수 있다. 관련해서, 어느 특정 검증 서버로부터 수신된 3개의 상태 정보들이 'a, b, c'라고 하는 경우, 특성 벡터 생성부(115)는 해당 검증 서버에 대한 특성 벡터로 '(a, b, c)'라고 하는 3차원 벡터를 생성할 수 있다.In this regard, when the three state information is the total number of times selected as the verification server for 7 days at a specific time in the past, the current CPU usage rate of the verification server (%), and the current network traffic number (byte) of the verification server, the
벡터 유사도 연산부(116)는 복수의 검증 서버들(141, 142, 143) 각각에 대한 상기 n차원의 특성 벡터가 생성되면, 상기 n차원의 특성 벡터와 상기 제1 전자 서명 데이터를 복호화할 검증 서버를 선택하기 위한 기준으로 미리 지정된 n차원의 기준 벡터 사이의 벡터 유사도를 연산한다.When the n-dimensional characteristic vector for each of the plurality of
여기서, 상기 n차원 기준 벡터는 복수의 검증 서버들(141, 142, 143) 중 상기 제1 전자 서명 데이터에 대한 복호화를 수행할 검증 서버를 선택하기 위한 기준으로 관리자에 의해 미리 지정된 벡터를 의미한다.Here, the n-dimensional reference vector refers to a vector designated in advance by an administrator as a criterion for selecting a verification server to perform decoding on the first digital signature data among a plurality of
이때, 관리자는 상기 n차원의 기준 벡터를 지정할 때, 과거의 기설정된 기간동안 검증 서버로 선택된 총 횟수가 많을수록 해당 검증 서버가 상기 제1 전자 서명 데이터를 복호화할 검증 서버로 선택될 가능성이 높게 설정되도록 상기 n차원의 기준 벡터를 지정해 둘 수 있다.At this time, when the administrator specifies the n-dimensional reference vector, the greater the total number of times selected as the verification server during the past preset period, the higher the probability that the verification server will be selected as the verification server to decode the first electronic signature data. The n-dimensional reference vector may be designated as much as possible.
또한, 전자 서명 데이터를 복호화하는 데에는 소정의 시스템 자원을 필요로 하기 때문에, 관리자는 복호화의 효율성을 증대시키기 위해, 상기 n차원의 기준 벡터를 지정할 때, 검증 서버의 현재 CPU 사용률과 네트워크 트래픽 수치가 낮을수록 해당 검증 서버가 상기 제1 전자 서명 데이터를 복호화할 검증 서버로 선택될 가능성이 높게 설정되도록 상기 n차원의 기준 벡터를 지정해 둘 수 있다.In addition, since a predetermined system resource is required to decrypt the digital signature data, the administrator, in order to increase the decryption efficiency, when designating the n-dimensional reference vector, the current CPU usage rate and network traffic value of the verification server The n-dimensional reference vector may be specified so that the lower the probability, the higher the possibility that the verification server will be selected as the verification server to decode the first digital signature data.
이때, 본 발명의 일실시예에 따르면, 복수의 검증 서버들(141, 142, 143) 각각에 대해 생성된 상기 n차원의 특성 벡터와 상기 n차원의 기준 벡터 사이의 상기 벡터 유사도의 연산은 하기의 수학식 1에 따라 수행될 수 있다.At this time, according to an embodiment of the present invention, the calculation of the vector similarity between the n-dimensional feature vector and the n-dimensional reference vector generated for each of the plurality of
여기서, M은 두 벡터 사이의 벡터 유사도로, S는 두 벡터 사이의 코사인 유사도, D는 두 벡터 사이의 유클리드 거리(Euclidean Distance)를 의미하고, 상기 두 벡터 사이의 코사인 유사도 S와 상기 두 벡터 사이의 유클리드 거리 D는 하기의 수학식 2와 하기의 수학식 3에 따라 연산될 수 있다. Here, M is the vector similarity between two vectors, S is the cosine similarity between the two vectors, D is the Euclidean distance between the two vectors, and the cosine similarity between the two vectors S and the two vectors The Euclidean distance D of can be calculated according to Equation 2 and Equation 3 below.
여기서, S는 벡터 A와 B 사이의 코사인 유사도로 -1에서 1사이의 값을 가지며, 그 값이 클수록 유사한 벡터임을 의미하고, Ai는 벡터 A의 i번째 성분, Bi는 벡터 B의 i번째 성분을 의미한다.Here, S is the cosine similarity between vectors A and B, and has a value between -1 and 1, and a larger value means a similar vector, A i is the i-th component of the vector A, and B i is the i of the vector B means the second component.
상기 수학식 3에서 D는 유클리드 거리를 의미하고, Ai와 Bi는 두 벡터에 포함되어 있는 i번째 성분들을 의미한다. 보통, 두 벡터 간의 유클리드 거리가 작을수록 두 벡터는 유사한 벡터라고 볼 수 있고, 두 벡터 간의 유클리드 거리가 클수록 두 벡터는 비유사한 벡터라고 볼 수 있다.In Equation 3, D denotes a Euclidean distance, and A i and B i denote i-th components included in the two vectors. In general, as the Euclidean distance between two vectors is small, the two vectors can be regarded as similar vectors, and as the Euclidean distance between two vectors increases, the two vectors can be regarded as dissimilar vectors.
검증 서버 선택부(117)는 복수의 검증 서버들(141, 142, 143) 각각에 대해 생성된 상기 n차원의 특성 벡터 중, 상기 벡터 유사도가 최대로 연산되는 제1 특성 벡터를 선택한 후, 상기 제1 특성 벡터를 구성하는 상태 정보를 전송한 검증 서버인 제1 검증 서버를 선택한다.The verification
본 실시예에서는 상기 제1 검증 서버를 도면부호 141로 표시한 검증 서버인 것으로 가정하고 설명하기로 한다.In this embodiment, it is assumed that the first verification server is a verification server indicated by
복호화 요청부(118)는 제1 검증 서버(141)가 선택되면, 제1 검증 서버(141)로 상기 제1 공개키와 상기 제1 전자 서명 데이터를 전송하면서, 상기 제1 전자 서명 데이터에 대한 복호화 요청을 전송한다.When the
이때, 제1 검증 서버(141)는 사용자 인증 서버(110)로부터 상기 제1 공개키와 상기 제1 전자 서명 데이터가 수신되면, 상기 제1 공개키로 상기 제1 전자 서명 데이터를 복호화하여 제1 복호화 데이터를 생성한 후 사용자 인증 서버(110)로 전송할 수 있다.At this time, when the first public key and the first electronic signature data are received from the
인증 처리부(119)는 제1 검증 서버(141)로부터 상기 제1 전자 서명 데이터에 대한 복호화 데이터로 상기 제1 복호화 데이터가 수신되면, 상기 제1 복호화 데이터가 상기 제1 식별 데이터와 동일한지 비교하여 상기 제1 사용자에 대한 인증을 처리한다.When the first decrypted data is received from the
즉, 인증 처리부(119)는 상기 제1 복호화 데이터가 상기 제1 식별 데이터와 동일한 것으로 판단되면, 상기 제1 사용자를 인증된 사용자로 판단하고, 사용자 인증을 완료할 수 있다.That is, when it is determined that the first decrypted data is the same as the first identification data, the
결국, 본 발명에 따른 사용자 인증 서버(110)는 사용자 단말로부터 생체 정보 인증을 통해 생성된 전자 서명 데이터가 수신되면, 복수의 검증 서버들(141, 142, 143)로부터 상태 정보를 수신한 후 복수의 검증 서버들(141, 142, 143) 중 소정의 기준치에 부합하는 제1 검증 서버(141)를 선택하여 제1 검증 서버(141)로 상기 전자 서명 데이터에 대한 복호화 요청을 전송하고, 제1 검증 서버(141)로부터 상기 전자 서명 데이터에 대한 복호화 데이터가 수신되면, 상기 수신된 복호화 데이터를 기반으로 사용자가 진정한 사용자인지 여부를 인증함으로써, 전자 서명 기반의 사용자 인증 과정에서 보안성을 더욱 강화할 수 있다.After all, when the
본 발명의 일실시예에 따르면, 복호화 요청부(118)는 제1 검증 서버(141)가 선택되었을 때, 제1 검증 서버(141)가 신뢰할 수 있는 검증 서버가 맞는지 여부를 추가적으로 인증하기 위한 구성으로, 인증용 행렬 저장부(120), 랜덤 행렬 생성부(121), 피드백 요청부(122), 검증 서버 인증부(123) 및 요청부(124)를 포함할 수 있다.According to an embodiment of the present invention, the
인증용 행렬 저장부(120)에는 검증 서버의 인증에 사용하기 위한 k x k(k는 2이상의 자연수) 크기의 사전 설정된 인증용 행렬이 저장되어 있다.The authentication
랜덤 행렬 생성부(121)는 제1 검증 서버(141)가 선택되면, (k+1) x k 크기를 갖는 랜덤한 성분 값들로 구성된 랜덤 행렬을 생성할 수 있다.When the
예컨대, 인증용 행렬 저장부(120)에 저장되어 있는 상기 인증용 행렬이 5 x 5 크기를 갖는 행렬이라면, 랜덤 행렬 생성부(121)는 6 x 5 크기를 갖는 랜덤 행렬을 생성할 수 있다.For example, if the authentication matrix stored in the authentication
피드백 요청부(122)는 상기 랜덤 행렬을 제1 검증 서버(141)로 전송하면서, 제1 검증 서버(141)로 상기 랜덤 행렬에 대응되는 피드백 행렬의 전송을 요청한다.While transmitting the random matrix to the
이때, 본 발명의 일실시예에 따르면, 제1 검증 서버(141)는 메모리 상에 상기 인증용 행렬을 저장하고 있을 수 있고, 사용자 인증 서버(110)로부터 상기 랜덤 행렬이 수신되면, 상기 랜덤 행렬에서 사전 설정된 제1 위치의 행의 성분들을 제거하여 k x k 크기의 변형 행렬을 생성하고, 상기 메모리 상에 저장되어 있는 상기 인증용 행렬과 상기 변형 행렬 간의 아다마르 곱(Hadamard product)을 연산하여 제1 피드백 행렬을 생성한 후 상기 제1 피드백 행렬을 사용자 인증 서버(110)로 전송할 수 있다.At this time, according to an embodiment of the present invention, the
예컨대, 상기 랜덤 행렬이 6 x 5 크기를 갖는 행렬이라고 하고, 상기 제1 위치가 4행이라고 하는 경우, 제1 검증 서버(141)는 상기 랜덤 행렬에서 4행에 위치하는 성분들을 제거하여 5 x 5 크기의 변형 행렬을 생성하고, 상기 메모리에 저장되어 있는 상기 인증용 행렬과 상기 변형 행렬 간의 아다마르 곱을 연산하여 상기 제1 피드백 행렬을 생성할 수 있다.For example, if the random matrix is a matrix having a size of 6 x 5 and the first position is 4 rows, the
여기서, 아다마르 곱이란 같은 크기의 행렬에서 각 성분을 곱하는 연산을 의미한다.Here, the Hadamard product means an operation of multiplying each component in a matrix of the same size.
검증 서버 인증부(123)는 제1 검증 서버(141)로부터 상기 랜덤 행렬에 대응되는 피드백 행렬로 상기 제1 피드백 행렬(상기 제1 피드백 행렬은 상기 랜덤 행렬에서 상기 제1 위치의 행의 성분들이 제거되어 k x k 크기의 변형 행렬이 생성된 후 제1 검증 서버(141)에 기 저장되어 있는 상기 인증용 행렬과 상기 변형 행렬 간의 아다마르 곱이 연산되어 생성된 행렬임)이 수신되면, 상기 랜덤 행렬에서 상기 제1 위치의 행의 성분들을 제거하여 상기 변형 행렬을 생성한 후 상기 인증용 행렬과 상기 변형 행렬 간의 아다마르 곱을 연산하여 제1 연산 행렬을 생성하고, 상기 제1 연산 행렬이 상기 제1 피드백 행렬과 동일한지 확인함으로써, 제1 검증 서버(141)에 대한 인증을 완료한다.The
즉, 검증 서버 인증부(123)는 제1 검증 서버(141)로부터 수신된 상기 제1 피드백 행렬과 상기 제1 연산 행렬이 서로 일치하는 것으로 확인되는 경우, 제1 검증 서버(141)가 상기 인증용 행렬과 상기 제1 위치에 대한 정보를 정상적으로 공유하고 있는 서버인 것으로 볼 수 있기 때문에 제1 검증 서버(141)에 대한 인증을 완료할 수 있다.That is, when the
요청부(124)는 제1 검증 서버(141)에 대한 인증이 완료되면, 제1 검증 서버(141)로 상기 제1 공개키와 상기 제1 전자 서명 데이터를 전송하면서, 상기 제1 전자 서명 데이터에 대한 복호화 요청을 전송한다.When the authentication for the
도 2는 본 발명의 일실시예에 따른 복수의 검증 서버들과 연동하여 생체 인증을 기초로 생성된 전자 서명 데이터의 검증을 수행하는 사용자 인증 서버의 동작 방법을 도시한 순서도이다.2 is a flowchart illustrating an operation method of a user authentication server that performs verification of digital signature data generated based on biometric authentication in conjunction with a plurality of verification servers according to an embodiment of the present invention.
단계(S210)에서는 복수의 사용자들 각각에 대한 사전 발급된 식별 데이터와 각 사용자에 대해 사전 발급된 개인키에 대응하는 공개키가 서로 대응되어 저장되어 있는 공개키 저장부를 유지한다.In step S210, a public key storage unit in which identification data previously issued for each of a plurality of users and a public key corresponding to a private key issued in advance for each user are stored in correspondence with each other is maintained.
단계(S220)에서는 사전 발급된 제1 개인키가 저장되어 있는 제1 사용자의 제1 사용자 단말로부터 상기 제1 사용자의 생체 정보가 인증됨에 따라 상기 제1 사용자에 대한 제1 식별 데이터와 상기 제1 개인키에 기초한 제1 전자 서명 데이터(상기 제1 전자 서명 데이터는 상기 제1 사용자 단말에서 상기 제1 사용자의 생체 정보가 인증되면, 상기 제1 사용자 단말이 상기 제1 개인키로 상기 제1 식별 데이터를 암호화하여 생성한 데이터임)가 수신되면서, 상기 제1 사용자에 대한 인증 요청이 수신되면, 상기 공개키 저장부로부터 상기 제1 식별 데이터에 대응되어 저장되어 있는 제1 공개키를 추출한다.In step S220, as the biometric information of the first user is authenticated from the first user terminal of the first user in which the pre-issued first private key is stored, the first identification data for the first user and the first First electronic signature data based on a private key (the first electronic signature data is the first identification data when the biometric information of the first user is authenticated in the first user terminal, the first user terminal is the first private key is data generated by encryption) is received, and when an authentication request for the first user is received, a first public key stored corresponding to the first identification data is extracted from the public key storage unit.
단계(S230)에서는 상기 복수의 검증 서버들로 미리 지정된 n(n은 2이상의 자연수)개의 상태 정보들의 전송을 요청한다.In step S230, transmission of n (n is a natural number greater than or equal to 2) predetermined pieces of state information is requested to the plurality of verification servers.
단계(S240)에서는 상기 복수의 검증 서버들 각각으로부터, 상기 복수의 검증 서버들 각각에서 생성된 상기 n개의 상태 정보들을 수신한다.In step S240, the n pieces of state information generated by each of the plurality of verification servers are received from each of the plurality of verification servers.
단계(S250)에서는 상기 복수의 검증 서버들 각각으로부터 수신된 상기 n개의 상태 정보들을 기초로, 상기 복수의 검증 서버들 각각에 대해 상기 n개의 상태 정보들을 성분으로 갖는 n차원의 특성 벡터를 생성한다.In step S250, based on the n pieces of status information received from each of the plurality of verification servers, an n-dimensional feature vector is generated having the n pieces of status information as components for each of the plurality of verification servers. .
단계(S260)에서는 상기 복수의 검증 서버들 각각에 대한 상기 n차원의 특성 벡터가 생성되면, 상기 n차원의 특성 벡터와 상기 제1 전자 서명 데이터를 복호화할 검증 서버를 선택하기 위한 기준으로 미리 지정된 n차원의 기준 벡터 사이의 벡터 유사도를 연산한다.In step S260, when the n-dimensional characteristic vector for each of the plurality of verification servers is generated, the n-dimensional characteristic vector and the first digital signature data are previously designated as a criterion for selecting a verification server to be decoded. Calculates the vector similarity between n-dimensional reference vectors.
단계(S270)에서는 상기 복수의 검증 서버들 각각에 대해 생성된 상기 n차원의 특성 벡터 중, 상기 벡터 유사도가 최대로 연산되는 제1 특성 벡터를 선택한 후, 상기 제1 특성 벡터를 구성하는 상태 정보를 전송한 검증 서버인 제1 검증 서버를 선택한다.In step S270, after selecting a first feature vector in which the vector similarity is calculated at the maximum from among the n-dimensional feature vectors generated for each of the plurality of verification servers, state information constituting the first feature vector The first verification server, which is the verification server that transmitted the , is selected.
단계(S280)에서는 상기 제1 검증 서버가 선택되면, 상기 제1 검증 서버로 상기 제1 공개키와 상기 제1 전자 서명 데이터를 전송하면서, 상기 제1 전자 서명 데이터에 대한 복호화 요청을 전송한다.In step S280, when the first verification server is selected, a decryption request for the first digital signature data is transmitted while transmitting the first public key and the first digital signature data to the first verification server.
단계(S290)에서는 상기 제1 검증 서버로부터 상기 제1 전자 서명 데이터에 대한 복호화 데이터로 제1 복호화 데이터가 수신되면, 상기 제1 복호화 데이터가 상기 제1 식별 데이터와 동일한지 비교하여 상기 제1 사용자에 대한 인증을 처리한다.In step S290, when the first decrypted data is received as the decrypted data for the first digital signature data from the first verification server, the first user compares whether the first decrypted data is the same as the first identification data. process authentication for
이때, 본 발명의 일실시예에 따르면, 상기 n은 3이고, 상기 n차원의 특성 벡터를 구성하는 성분인 상기 n개의 상태 정보들은 과거의 기설정된 기간 동안 검증 서버로 선택된 총 횟수, 현재 CPU 사용률, 현재 네트워크 트래픽 수치일 수 있다.At this time, according to an embodiment of the present invention, n is 3, and the n pieces of state information, which are components constituting the n-dimensional feature vector, are the total number of times selected as the verification server during the past preset period, and the current CPU usage rate. , may be the current network traffic figure.
또한, 본 발명의 일실시예에 따르면, 상기 복수의 검증 서버들 각각에 대해 생성된 상기 n차원의 특성 벡터와 상기 n차원의 기준 벡터 사이의 상기 벡터 유사도의 연산은 상기 수학식 1에 따라 수행될 수 있다.In addition, according to an embodiment of the present invention, the calculation of the vector similarity between the n-dimensional feature vector and the n-dimensional reference vector generated for each of the plurality of verification servers is performed according to Equation 1 can be
또한, 본 발명의 일실시예에 따르면, 단계(S280)에서는 검증 서버의 인증에 사용하기 위한 k x k(k는 2이상의 자연수) 크기의 사전 설정된 인증용 행렬이 저장되어 있는 인증용 행렬 저장부를 유지하는 단계, 상기 제1 검증 서버가 선택되면, (k+1) x k 크기를 갖는 랜덤한 성분 값들로 구성된 랜덤 행렬을 생성하는 단계, 상기 랜덤 행렬을 상기 제1 검증 서버로 전송하면서, 상기 제1 검증 서버로 상기 랜덤 행렬에 대응되는 피드백 행렬의 전송을 요청하는 단계, 상기 제1 검증 서버로부터 상기 랜덤 행렬에 대응되는 피드백 행렬로 제1 피드백 행렬(상기 제1 피드백 행렬은 상기 랜덤 행렬에서 사전 설정된 제1 위치의 행의 성분들이 제거되어 k x k 크기의 변형 행렬이 생성된 후 상기 제1 검증 서버에 기 저장되어 있는 상기 인증용 행렬과 상기 변형 행렬 간의 아다마르 곱이 연산되어 생성된 행렬임)이 수신되면, 상기 랜덤 행렬에서 상기 제1 위치의 행의 성분들을 제거하여 상기 변형 행렬을 생성한 후 상기 인증용 행렬과 상기 변형 행렬 간의 아다마르 곱을 연산하여 제1 연산 행렬을 생성하고, 상기 제1 연산 행렬이 상기 제1 피드백 행렬과 동일한지 확인함으로써, 상기 제1 검증 서버에 대한 인증을 완료하는 단계 및 상기 제1 검증 서버에 대한 인증이 완료되면, 상기 제1 검증 서버로 상기 제1 공개키와 상기 제1 전자 서명 데이터를 전송하면서, 상기 제1 전자 서명 데이터에 대한 복호화 요청을 전송하는 단계를 포함할 수 있다.In addition, according to an embodiment of the present invention, in step S280, a matrix storage unit for authentication in which a preset authentication matrix with a size of kxk (k is a natural number greater than or equal to 2) for use in authentication of the verification server is stored. step, when the first verification server is selected, generating a random matrix composed of random component values having a size of (k+1) x k; while transmitting the random matrix to the first verification server, the first verification requesting transmission of a feedback matrix corresponding to the random matrix to a server; a first feedback matrix from the first verification server to a feedback matrix corresponding to the random matrix (the first feedback matrix is the first feedback matrix preset in the random matrix) When a kxk-sized transformation matrix is generated by removing the elements of the row at position 1, and then a matrix generated by calculating the Hadamard product between the authentication matrix and the transformation matrix stored in the first verification server in advance) is received , generating the transformation matrix by removing the elements of the row at the first position in the random matrix, and then calculating a Hadamard product between the authentication matrix and the transformation matrix to generate a first operation matrix, and the first operation matrix Completing the authentication for the first verification server by checking whether this is the same as the first feedback matrix, and when the authentication for the first verification server is completed, the first public key and the While transmitting the first electronic signature data, the method may include transmitting a decryption request for the first electronic signature data.
이때, 본 발명의 일실시예에 따르면, 상기 제1 검증 서버는 메모리 상에 상기 인증용 행렬을 저장하고 있고, 상기 사용자 인증 서버로부터 상기 랜덤 행렬이 수신되면, 상기 랜덤 행렬에서 상기 제1 위치의 행의 성분들을 제거하여 상기 변형 행렬을 생성하고, 상기 메모리 상에 저장되어 있는 상기 인증용 행렬과 상기 변형 행렬 간의 아다마르 곱을 연산하여 상기 제1 피드백 행렬을 생성한 후 상기 제1 피드백 행렬을 상기 사용자 인증 서버로 전송할 수 있다.At this time, according to an embodiment of the present invention, the first verification server stores the authentication matrix in a memory, and when the random matrix is received from the user authentication server, the first position in the random matrix is The transformation matrix is generated by removing elements of a row, and the first feedback matrix is generated by calculating a Hadamard product between the authentication matrix and the transformation matrix stored in the memory, and then the first feedback matrix is used as the first feedback matrix. It can be sent to the user authentication server.
이상, 도 2를 참조하여 본 발명의 일실시예에 따른 복수의 검증 서버들과 연동하여 생체 인증을 기초로 생성된 전자 서명 데이터의 검증을 수행하는 사용자 인증 서버의 동작 방법에 대해 설명하였다. 여기서, 본 발명의 일실시예에 따른 복수의 검증 서버들과 연동하여 생체 인증을 기초로 생성된 전자 서명 데이터의 검증을 수행하는 사용자 인증 서버의 동작 방법은 도 1을 이용하여 설명한 복수의 검증 서버들과 연동하여 생체 인증을 기초로 생성된 전자 서명 데이터의 검증을 수행하는 사용자 인증 서버(110)의 동작에 대한 구성과 대응될 수 있으므로, 이에 대한 보다 상세한 설명은 생략하기로 한다.In the above, the operation method of the user authentication server for performing verification of the digital signature data generated based on biometric authentication in conjunction with a plurality of verification servers according to an embodiment of the present invention has been described with reference to FIG. 2 . Here, the operating method of the user authentication server for performing verification of the digital signature data generated based on biometric authentication in conjunction with a plurality of verification servers according to an embodiment of the present invention is a plurality of verification servers described with reference to FIG. Since it may correspond to the configuration of the operation of the
본 발명의 일실시예에 따른 복수의 검증 서버들과 연동하여 생체 인증을 기초로 생성된 전자 서명 데이터의 검증을 수행하는 사용자 인증 서버의 동작 방법은 컴퓨터와의 결합을 통해 실행시키기 위한 저장매체에 저장된 컴퓨터 프로그램으로 구현될 수 있다.The method of operation of a user authentication server for performing verification of electronic signature data generated based on biometric authentication in conjunction with a plurality of verification servers according to an embodiment of the present invention is stored in a storage medium for execution through combination with a computer. It may be implemented as a stored computer program.
또한, 본 발명의 일실시예에 따른 복수의 검증 서버들과 연동하여 생체 인증을 기초로 생성된 전자 서명 데이터의 검증을 수행하는 사용자 인증 서버의 동작 방법은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. In addition, the operating method of the user authentication server for performing verification of the digital signature data generated based on biometric authentication in conjunction with a plurality of verification servers according to an embodiment of the present invention is a program that can be performed through various computer means It may be implemented in the form of instructions and recorded in a computer-readable medium. The computer-readable medium may include program instructions, data files, data structures, etc. alone or in combination. The program instructions recorded on the medium may be specially designed and configured for the present invention, or may be known and available to those skilled in the art of computer software. Examples of the computer-readable recording medium include magnetic media such as hard disks, floppy disks and magnetic tapes, optical media such as CD-ROMs and DVDs, and magnetic such as floppy disks. - includes magneto-optical media, and hardware devices specially configured to store and execute program instructions, such as ROM, RAM, flash memory, and the like. Examples of program instructions include not only machine language codes such as those generated by a compiler, but also high-level language codes that can be executed by a computer using an interpreter or the like.
이상과 같이 본 발명에서는 구체적인 구성 요소 등과 같은 특정 사항들과 한정된 실시예 및 도면에 의해 설명되었으나 이는 본 발명의 보다 전반적인 이해를 돕기 위해서 제공된 것일 뿐, 본 발명은 상기의 실시예에 한정되는 것은 아니며, 본 발명이 속하는 분야에서 통상적인 지식을 가진 자라면 이러한 기재로부터 다양한 수정 및 변형이 가능하다.As described above, the present invention has been described with specific matters such as specific components and limited embodiments and drawings, but these are only provided to help a more general understanding of the present invention, and the present invention is not limited to the above embodiments. , various modifications and variations are possible from these descriptions by those of ordinary skill in the art to which the present invention pertains.
따라서, 본 발명의 사상은 설명된 실시예에 국한되어 정해져서는 아니되며, 후술하는 특허청구범위뿐 아니라 이 특허청구범위와 균등하거나 등가적 변형이 있는 모든 것들은 본 발명 사상의 범주에 속한다고 할 것이다.Therefore, the spirit of the present invention should not be limited to the described embodiments, and not only the claims to be described later, but also all those with equivalent or equivalent modifications to the claims will be said to belong to the scope of the spirit of the present invention. .
110: 복수의 검증 서버들과 연동하여 생체 인증을 기초로 생성된 전자 서명 데이터의 검증을 수행하는 사용자 인증 서버
111: 공개키 저장부 112: 공개키 추출부
113: 상태 정보 요청부 114: 상태 정보 수신부
115: 특성 벡터 생성부 116: 벡터 유사도 연산부
117: 검증 서버 선택부 118: 복호화 요청부
119: 인증 처리부 120: 인증용 행렬 저장부
121: 랜덤 행렬 생성부 122: 피드백 요청부
123: 검증 서버 인증부 124: 요청부
130: 제1 사용자 단말 141, 142, 143: 복수의 검증 서버들110: A user authentication server that works with a plurality of verification servers to verify the digital signature data generated based on biometric authentication
111: public key storage unit 112: public key extraction unit
113: status information request unit 114: status information receiving unit
115: feature vector generating unit 116: vector similarity calculating unit
117: verification server selection unit 118: decryption request unit
119: authentication processing unit 120: matrix storage unit for authentication
121: random matrix generation unit 122: feedback request unit
123: verification server authentication unit 124: request unit
130:
Claims (12)
복수의 사용자들 각각에 대한 사전 발급된 식별 데이터와 각 사용자에 대해 사전 발급된 개인키에 대응하는 공개키가 서로 대응되어 저장되어 있는 공개키 저장부;
사전 발급된 제1 개인키가 저장되어 있는 제1 사용자의 제1 사용자 단말로부터 상기 제1 사용자의 생체 정보가 인증됨에 따라 상기 제1 사용자에 대한 제1 식별 데이터와 상기 제1 개인키에 기초한 제1 전자 서명 데이터 - 상기 제1 전자 서명 데이터는 상기 제1 사용자 단말에서 상기 제1 사용자의 생체 정보가 인증되면, 상기 제1 사용자 단말이 상기 제1 개인키로 상기 제1 식별 데이터를 암호화하여 생성한 데이터임 - 가 수신되면서, 상기 제1 사용자에 대한 인증 요청이 수신되면, 상기 공개키 저장부로부터 상기 제1 식별 데이터에 대응되어 저장되어 있는 제1 공개키를 추출하는 공개키 추출부;
상기 복수의 검증 서버들로 미리 지정된 n(n은 2이상의 자연수)개의 상태 정보들의 전송을 요청하는 상태 정보 요청부;
상기 복수의 검증 서버들 각각으로부터, 상기 복수의 검증 서버들 각각에서 생성된 상기 n개의 상태 정보들을 수신하는 상태 정보 수신부;
상기 복수의 검증 서버들 각각으로부터 수신된 상기 n개의 상태 정보들을 기초로, 상기 복수의 검증 서버들 각각에 대해 상기 n개의 상태 정보들을 성분으로 갖는 n차원의 특성 벡터를 생성하는 특성 벡터 생성부;
상기 복수의 검증 서버들 각각에 대한 상기 n차원의 특성 벡터가 생성되면, 상기 n차원의 특성 벡터와 상기 제1 전자 서명 데이터를 복호화할 검증 서버를 선택하기 위한 기준으로 미리 지정된 n차원의 기준 벡터 사이의 벡터 유사도를 연산하는 벡터 유사도 연산부;
상기 복수의 검증 서버들 각각에 대해 생성된 상기 n차원의 특성 벡터 중, 상기 벡터 유사도가 최대로 연산되는 제1 특성 벡터를 선택한 후, 상기 제1 특성 벡터를 구성하는 상태 정보를 전송한 검증 서버인 제1 검증 서버를 선택하는 검증 서버 선택부;
상기 제1 검증 서버가 선택되면, 상기 제1 검증 서버로 상기 제1 공개키와 상기 제1 전자 서명 데이터를 전송하면서, 상기 제1 전자 서명 데이터에 대한 복호화 요청을 전송하는 복호화 요청부; 및
상기 제1 검증 서버로부터 상기 제1 전자 서명 데이터에 대한 복호화 데이터로 제1 복호화 데이터가 수신되면, 상기 제1 복호화 데이터가 상기 제1 식별 데이터와 동일한지 비교하여 상기 제1 사용자에 대한 인증을 처리하는 인증 처리부
를 포함하는 복수의 검증 서버들과 연동하여 생체 인증을 기초로 생성된 전자 서명 데이터의 검증을 수행하는 사용자 인증 서버.In the user authentication server for performing verification of electronic signature data generated based on biometric authentication in conjunction with a plurality of verification servers,
a public key storage unit storing pre-issued identification data for each of a plurality of users and a public key corresponding to a pre-issued private key for each user in correspondence with each other;
As the biometric information of the first user is authenticated from the first user terminal of the first user in which the pre-issued first private key is stored, the first identification data for the first user and the first identification data for the first user based on the first private key 1 Electronic signature data - The first electronic signature data is generated by encrypting the first identification data by the first user terminal with the first private key when the biometric information of the first user is authenticated by the first user terminal a public key extraction unit for extracting a first public key stored in correspondence with the first identification data from the public key storage unit when an authentication request for the first user is received while being data is received;
a state information requesting unit for requesting transmission of n (n is a natural number equal to or greater than 2) predetermined number of state information to the plurality of verification servers;
a state information receiver configured to receive, from each of the plurality of verification servers, the n pieces of state information generated by each of the plurality of verification servers;
a feature vector generator for generating an n-dimensional feature vector having the n pieces of state information as a component for each of the plurality of verification servers based on the n pieces of state information received from each of the plurality of verification servers;
When the n-dimensional characteristic vector for each of the plurality of verification servers is generated, the n-dimensional characteristic vector and an n-dimensional reference vector previously designated as a criterion for selecting a verification server to decode the first digital signature data a vector similarity calculating unit that calculates the vector similarity between the two;
A verification server that selects a first characteristic vector in which the vector similarity is calculated to a maximum from among the n-dimensional characteristic vectors generated for each of the plurality of verification servers, and transmits state information constituting the first characteristic vector a verification server selection unit that selects a first verification server that is
a decryption request unit for transmitting a decryption request for the first electronic signature data while transmitting the first public key and the first digital signature data to the first verification server when the first verification server is selected; and
When the first decrypted data is received from the first verification server as the decrypted data for the first electronic signature data, the authentication for the first user is processed by comparing whether the first decrypted data is the same as the first identification data. authentication processing unit
A user authentication server for performing verification of electronic signature data generated based on biometric authentication in conjunction with a plurality of verification servers including a.
상기 n은 3이고, 상기 n차원의 특성 벡터를 구성하는 성분인 상기 n개의 상태 정보들은 과거의 기설정된(predetermined) 기간 동안 검증 서버로 선택된 총 횟수, 현재 CPU 사용률, 현재 네트워크 트래픽 수치인 복수의 검증 서버들과 연동하여 생체 인증을 기초로 생성된 전자 서명 데이터의 검증을 수행하는 사용자 인증 서버.According to claim 1,
The n is 3, and the n pieces of state information, which are components constituting the n-dimensional feature vector, are the total number of times selected as the verification server during the past predetermined period, the current CPU usage rate, and the current network traffic value. A user authentication server that works with verification servers to verify the digital signature data generated based on biometric authentication.
상기 복수의 검증 서버들 각각에 대해 생성된 상기 n차원의 특성 벡터와 상기 n차원의 기준 벡터 사이의 상기 벡터 유사도의 연산은 하기의 수학식 1에 따라 수행되는 복수의 검증 서버들과 연동하여 생체 인증을 기초로 생성된 전자 서명 데이터의 검증을 수행하는 사용자 인증 서버.
[수학식 1]
여기서, M은 두 벡터 사이의 벡터 유사도로, S는 두 벡터 사이의 코사인 유사도, D는 두 벡터 사이의 유클리드 거리(Euclidean Distance)를 의미함.According to claim 1,
The calculation of the vector similarity between the n-dimensional characteristic vector and the n-dimensional reference vector generated for each of the plurality of verification servers is performed according to Equation 1 below in conjunction with a plurality of verification servers to be biometric. A user authentication server that performs verification of digital signature data generated based on authentication.
[Equation 1]
Here, M is the vector similarity between two vectors, S is the cosine similarity between the two vectors, and D is the Euclidean distance between the two vectors.
상기 복호화 요청부는
검증 서버의 인증에 사용하기 위한 k x k(k는 2이상의 자연수) 크기의 사전 설정된 인증용 행렬이 저장되어 있는 인증용 행렬 저장부;
상기 제1 검증 서버가 선택되면, (k+1) x k 크기를 갖는 랜덤한 성분 값들로 구성된 랜덤 행렬을 생성하는 랜덤 행렬 생성부;
상기 랜덤 행렬을 상기 제1 검증 서버로 전송하면서, 상기 제1 검증 서버로 상기 랜덤 행렬에 대응되는 피드백 행렬의 전송을 요청하는 피드백 요청부;
상기 제1 검증 서버로부터 상기 랜덤 행렬에 대응되는 피드백 행렬로 제1 피드백 행렬 - 상기 제1 피드백 행렬은 상기 랜덤 행렬에서 사전 설정된 제1 위치의 행의 성분들이 제거되어 k x k 크기의 변형 행렬이 생성된 후 상기 제1 검증 서버에 기 저장되어 있는 상기 인증용 행렬과 상기 변형 행렬 간의 아다마르 곱(Hadamard product)이 연산되어 생성된 행렬임 - 이 수신되면, 상기 랜덤 행렬에서 상기 제1 위치의 행의 성분들을 제거하여 상기 변형 행렬을 생성한 후 상기 인증용 행렬과 상기 변형 행렬 간의 아다마르 곱을 연산하여 제1 연산 행렬을 생성하고, 상기 제1 연산 행렬이 상기 제1 피드백 행렬과 동일한지 확인함으로써, 상기 제1 검증 서버에 대한 인증을 완료하는 검증 서버 인증부; 및
상기 제1 검증 서버에 대한 인증이 완료되면, 상기 제1 검증 서버로 상기 제1 공개키와 상기 제1 전자 서명 데이터를 전송하면서, 상기 제1 전자 서명 데이터에 대한 복호화 요청을 전송하는 요청부
를 포함하는 복수의 검증 서버들과 연동하여 생체 인증을 기초로 생성된 전자 서명 데이터의 검증을 수행하는 사용자 인증 서버.According to claim 1,
The decryption request unit
an authentication matrix storage unit in which a preset authentication matrix having a size of kxk (k is a natural number greater than or equal to 2) for use in authentication of the verification server is stored;
a random matrix generator for generating a random matrix composed of random component values having a size of (k+1) x k when the first verification server is selected;
a feedback requesting unit for requesting transmission of a feedback matrix corresponding to the random matrix to the first verification server while transmitting the random matrix to the first verification server;
A first feedback matrix from the first verification server to a feedback matrix corresponding to the random matrix - The first feedback matrix is a transformation matrix of a size kxk is generated by removing elements of a row at a preset first position in the random matrix Then, the matrix generated by calculating the Hadamard product between the authentication matrix and the transformation matrix stored in the first verification server in advance - is received, the row of the first position in the random matrix After generating the transformation matrix by removing the components, by calculating the Hadamard product between the authentication matrix and the transformation matrix to generate a first operation matrix, and verifying whether the first operation matrix is the same as the first feedback matrix, a verification server authentication unit that completes the authentication of the first verification server; and
When authentication for the first verification server is completed, a request unit for transmitting a decryption request for the first electronic signature data while transmitting the first public key and the first electronic signature data to the first verification server
A user authentication server for performing verification of electronic signature data generated based on biometric authentication in conjunction with a plurality of verification servers including a.
상기 제1 검증 서버는
메모리 상에 상기 인증용 행렬을 저장하고 있고, 상기 사용자 인증 서버로부터 상기 랜덤 행렬이 수신되면, 상기 랜덤 행렬에서 상기 제1 위치의 행의 성분들을 제거하여 상기 변형 행렬을 생성하고, 상기 메모리 상에 저장되어 있는 상기 인증용 행렬과 상기 변형 행렬 간의 아다마르 곱을 연산하여 상기 제1 피드백 행렬을 생성한 후 상기 제1 피드백 행렬을 상기 사용자 인증 서버로 전송하는 복수의 검증 서버들과 연동하여 생체 인증을 기초로 생성된 전자 서명 데이터의 검증을 수행하는 사용자 인증 서버.5. The method of claim 4,
The first verification server is
The authentication matrix is stored in a memory, and when the random matrix is received from the user authentication server, the transformation matrix is generated by removing the elements of the row of the first position in the random matrix, and in the memory After generating the first feedback matrix by calculating the Hadamard product between the stored authentication matrix and the transformation matrix, biometric authentication is performed in conjunction with a plurality of verification servers that transmit the first feedback matrix to the user authentication server. A user authentication server that performs verification of the digital signature data generated based on it.
복수의 사용자들 각각에 대한 사전 발급된 식별 데이터와 각 사용자에 대해 사전 발급된 개인키에 대응하는 공개키가 서로 대응되어 저장되어 있는 공개키 저장부를 유지하는 단계;
사전 발급된 제1 개인키가 저장되어 있는 제1 사용자의 제1 사용자 단말로부터 상기 제1 사용자의 생체 정보가 인증됨에 따라 상기 제1 사용자에 대한 제1 식별 데이터와 상기 제1 개인키에 기초한 제1 전자 서명 데이터 - 상기 제1 전자 서명 데이터는 상기 제1 사용자 단말에서 상기 제1 사용자의 생체 정보가 인증되면, 상기 제1 사용자 단말이 상기 제1 개인키로 상기 제1 식별 데이터를 암호화하여 생성한 데이터임 - 가 수신되면서, 상기 제1 사용자에 대한 인증 요청이 수신되면, 상기 공개키 저장부로부터 상기 제1 식별 데이터에 대응되어 저장되어 있는 제1 공개키를 추출하는 단계;
상기 복수의 검증 서버들로 미리 지정된 n(n은 2이상의 자연수)개의 상태 정보들의 전송을 요청하는 단계;
상기 복수의 검증 서버들 각각으로부터, 상기 복수의 검증 서버들 각각에서 생성된 상기 n개의 상태 정보들을 수신하는 단계;
상기 복수의 검증 서버들 각각으로부터 수신된 상기 n개의 상태 정보들을 기초로, 상기 복수의 검증 서버들 각각에 대해 상기 n개의 상태 정보들을 성분으로 갖는 n차원의 특성 벡터를 생성하는 단계;
상기 복수의 검증 서버들 각각에 대한 상기 n차원의 특성 벡터가 생성되면, 상기 n차원의 특성 벡터와 상기 제1 전자 서명 데이터를 복호화할 검증 서버를 선택하기 위한 기준으로 미리 지정된 n차원의 기준 벡터 사이의 벡터 유사도를 연산하는 단계;
상기 복수의 검증 서버들 각각에 대해 생성된 상기 n차원의 특성 벡터 중, 상기 벡터 유사도가 최대로 연산되는 제1 특성 벡터를 선택한 후, 상기 제1 특성 벡터를 구성하는 상태 정보를 전송한 검증 서버인 제1 검증 서버를 선택하는 단계;
상기 제1 검증 서버가 선택되면, 상기 제1 검증 서버로 상기 제1 공개키와 상기 제1 전자 서명 데이터를 전송하면서, 상기 제1 전자 서명 데이터에 대한 복호화 요청을 전송하는 단계; 및
상기 제1 검증 서버로부터 상기 제1 전자 서명 데이터에 대한 복호화 데이터로 제1 복호화 데이터가 수신되면, 상기 제1 복호화 데이터가 상기 제1 식별 데이터와 동일한지 비교하여 상기 제1 사용자에 대한 인증을 처리하는 단계
를 포함하는 복수의 검증 서버들과 연동하여 생체 인증을 기초로 생성된 전자 서명 데이터의 검증을 수행하는 사용자 인증 서버의 동작 방법.In the operating method of a user authentication server for performing verification of electronic signature data generated based on biometric authentication in conjunction with a plurality of verification servers,
maintaining a public key storage unit in which pre-issued identification data for each of a plurality of users and a public key corresponding to a pre-issued private key for each user are stored in correspondence with each other;
As the biometric information of the first user is authenticated from the first user terminal of the first user in which the pre-issued first private key is stored, the first identification data for the first user and the first identification data for the first user based on the first private key 1 Electronic signature data - The first electronic signature data is generated by encrypting the first identification data by the first user terminal with the first private key when the biometric information of the first user is authenticated by the first user terminal extracting a first public key stored in correspondence with the first identification data from the public key storage unit when an authentication request for the first user is received while being data is received;
requesting transmission of n (n is a natural number greater than or equal to 2) predetermined number of state information to the plurality of verification servers;
receiving, from each of the plurality of verification servers, the n pieces of state information generated by each of the plurality of verification servers;
generating an n-dimensional feature vector having the n pieces of state information as a component for each of the plurality of verification servers based on the n pieces of state information received from each of the plurality of verification servers;
When the n-dimensional characteristic vector for each of the plurality of verification servers is generated, the n-dimensional characteristic vector and an n-dimensional reference vector previously designated as a criterion for selecting a verification server to decode the first digital signature data calculating a vector similarity between them;
A verification server that selects a first characteristic vector in which the vector similarity is calculated to a maximum from among the n-dimensional characteristic vectors generated for each of the plurality of verification servers, and transmits state information constituting the first characteristic vector selecting a first verification server that is
transmitting a decryption request for the first digital signature data while transmitting the first public key and the first digital signature data to the first verification server when the first verification server is selected; and
When the first decrypted data is received from the first verification server as the decrypted data for the first electronic signature data, the authentication for the first user is processed by comparing whether the first decrypted data is the same as the first identification data. step to do
A method of operating a user authentication server for performing verification of the digital signature data generated based on biometric authentication in conjunction with a plurality of verification servers including a.
상기 n은 3이고, 상기 n차원의 특성 벡터를 구성하는 성분인 상기 n개의 상태 정보들은 과거의 기설정된(predetermined) 기간 동안 검증 서버로 선택된 총 횟수, 현재 CPU 사용률, 현재 네트워크 트래픽 수치인 복수의 검증 서버들과 연동하여 생체 인증을 기초로 생성된 전자 서명 데이터의 검증을 수행하는 사용자 인증 서버의 동작 방법.7. The method of claim 6,
The n is 3, and the n pieces of state information, which are components constituting the n-dimensional feature vector, are the total number of times selected as the verification server during the past predetermined period, the current CPU usage rate, and the current network traffic value. A method of operating a user authentication server for performing verification of electronic signature data generated based on biometric authentication in conjunction with verification servers.
상기 복수의 검증 서버들 각각에 대해 생성된 상기 n차원의 특성 벡터와 상기 n차원의 기준 벡터 사이의 상기 벡터 유사도의 연산은 하기의 수학식 1에 따라 수행되는 복수의 검증 서버들과 연동하여 생체 인증을 기초로 생성된 전자 서명 데이터의 검증을 수행하는 사용자 인증 서버의 동작 방법.
[수학식 1]
여기서, M은 두 벡터 사이의 벡터 유사도로, S는 두 벡터 사이의 코사인 유사도, D는 두 벡터 사이의 유클리드 거리(Euclidean Distance)를 의미함.7. The method of claim 6,
The calculation of the vector similarity between the n-dimensional characteristic vector and the n-dimensional reference vector generated for each of the plurality of verification servers is performed according to Equation 1 below in conjunction with a plurality of verification servers to be biometric. A method of operating a user authentication server to verify the digital signature data generated based on authentication.
[Equation 1]
Here, M is the vector similarity between two vectors, S is the cosine similarity between the two vectors, and D is the Euclidean distance between the two vectors.
상기 제1 전자 서명 데이터에 대한 복호화 요청을 전송하는 단계는
검증 서버의 인증에 사용하기 위한 k x k(k는 2이상의 자연수) 크기의 사전 설정된 인증용 행렬이 저장되어 있는 인증용 행렬 저장부를 유지하는 단계;
상기 제1 검증 서버가 선택되면, (k+1) x k 크기를 갖는 랜덤한 성분 값들로 구성된 랜덤 행렬을 생성하는 단계;
상기 랜덤 행렬을 상기 제1 검증 서버로 전송하면서, 상기 제1 검증 서버로 상기 랜덤 행렬에 대응되는 피드백 행렬의 전송을 요청하는 단계;
상기 제1 검증 서버로부터 상기 랜덤 행렬에 대응되는 피드백 행렬로 제1 피드백 행렬 - 상기 제1 피드백 행렬은 상기 랜덤 행렬에서 사전 설정된 제1 위치의 행의 성분들이 제거되어 k x k 크기의 변형 행렬이 생성된 후 상기 제1 검증 서버에 기 저장되어 있는 상기 인증용 행렬과 상기 변형 행렬 간의 아다마르 곱(Hadamard product)이 연산되어 생성된 행렬임 - 이 수신되면, 상기 랜덤 행렬에서 상기 제1 위치의 행의 성분들을 제거하여 상기 변형 행렬을 생성한 후 상기 인증용 행렬과 상기 변형 행렬 간의 아다마르 곱을 연산하여 제1 연산 행렬을 생성하고, 상기 제1 연산 행렬이 상기 제1 피드백 행렬과 동일한지 확인함으로써, 상기 제1 검증 서버에 대한 인증을 완료하는 단계; 및
상기 제1 검증 서버에 대한 인증이 완료되면, 상기 제1 검증 서버로 상기 제1 공개키와 상기 제1 전자 서명 데이터를 전송하면서, 상기 제1 전자 서명 데이터에 대한 복호화 요청을 전송하는 단계
를 포함하는 복수의 검증 서버들과 연동하여 생체 인증을 기초로 생성된 전자 서명 데이터의 검증을 수행하는 사용자 인증 서버의 동작 방법.7. The method of claim 6,
Transmitting a decryption request for the first electronic signature data includes:
maintaining an authentication matrix storage unit in which a preset authentication matrix having a size of kxk (k is a natural number greater than or equal to 2) for use in authentication of a verification server is stored;
generating a random matrix composed of random component values having a size of (k+1) xk when the first verification server is selected;
requesting transmission of a feedback matrix corresponding to the random matrix to the first verification server while transmitting the random matrix to the first verification server;
A first feedback matrix from the first verification server to a feedback matrix corresponding to the random matrix - The first feedback matrix is a transformation matrix of a size kxk is generated by removing elements of a row at a preset first position in the random matrix Then, the matrix generated by calculating the Hadamard product between the authentication matrix and the transformation matrix stored in the first verification server in advance - is received, the row of the first position in the random matrix After generating the transformation matrix by removing the components, by calculating the Hadamard product between the authentication matrix and the transformation matrix to generate a first operation matrix, and verifying whether the first operation matrix is the same as the first feedback matrix, completing authentication for the first verification server; and
When the authentication for the first verification server is completed, transmitting the first public key and the first digital signature data to the first verification server while transmitting a decryption request for the first digital signature data;
A method of operating a user authentication server for performing verification of the digital signature data generated based on biometric authentication in conjunction with a plurality of verification servers including a.
상기 제1 검증 서버는
메모리 상에 상기 인증용 행렬을 저장하고 있고, 상기 사용자 인증 서버로부터 상기 랜덤 행렬이 수신되면, 상기 랜덤 행렬에서 상기 제1 위치의 행의 성분들을 제거하여 상기 변형 행렬을 생성하고, 상기 메모리 상에 저장되어 있는 상기 인증용 행렬과 상기 변형 행렬 간의 아다마르 곱을 연산하여 상기 제1 피드백 행렬을 생성한 후 상기 제1 피드백 행렬을 상기 사용자 인증 서버로 전송하는 복수의 검증 서버들과 연동하여 생체 인증을 기초로 생성된 전자 서명 데이터의 검증을 수행하는 사용자 인증 서버의 동작 방법.10. The method of claim 9,
The first verification server is
The authentication matrix is stored in a memory, and when the random matrix is received from the user authentication server, the transformation matrix is generated by removing the elements of the row of the first position in the random matrix, and in the memory After generating the first feedback matrix by calculating the Hadamard product between the stored authentication matrix and the transformation matrix, biometric authentication is performed in conjunction with a plurality of verification servers that transmit the first feedback matrix to the user authentication server. A method of operation of a user authentication server that performs verification of the digital signature data generated based on it.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020190113354A KR102274132B1 (en) | 2019-09-16 | 2019-09-16 | User authentication server that performs verification of electronic signature data generated based on biometric authentication in association with a plurality of verification servers and operating method thereof |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020190113354A KR102274132B1 (en) | 2019-09-16 | 2019-09-16 | User authentication server that performs verification of electronic signature data generated based on biometric authentication in association with a plurality of verification servers and operating method thereof |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| KR20210032088A KR20210032088A (en) | 2021-03-24 |
| KR102274132B1 true KR102274132B1 (en) | 2021-07-08 |
Family
ID=75257160
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020190113354A Active KR102274132B1 (en) | 2019-09-16 | 2019-09-16 | User authentication server that performs verification of electronic signature data generated based on biometric authentication in association with a plurality of verification servers and operating method thereof |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR102274132B1 (en) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20230056203A (en) * | 2021-10-20 | 2023-04-27 | 주식회사 한글과컴퓨터 | Scheduling apparatus performing scheduling to allocate format conversion tasks of document files, based on the status of a plurality of format converting servers, and the operating method thereof |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR102622454B1 (en) * | 2021-03-25 | 2024-01-08 | 주식회사 한컴위드 | Agricultural products eco-friendly certification verification server verifying eco-friendly certificated agricultural products, based on two-dimensional code, and the operating method thereof |
| KR102633817B1 (en) * | 2021-03-25 | 2024-02-05 | 주식회사 한컴위드 | Service server that supports to be able to inquiring review information about franchisee based on the two-dimensional code and operating method thereof |
| KR102407874B1 (en) * | 2021-12-21 | 2022-06-10 | (주)한컴인텔리전스 | Real-time monitoring service server capable of providing information on the status of the elevator to a user terminal in conjunction with a control system device that controls the operation of an elevator installed in a building and the operating method thereof |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101520722B1 (en) | 2014-01-17 | 2015-05-21 | 크루셜텍 (주) | Method, server and user device for verifying user |
| JP2015176167A (en) | 2014-03-13 | 2015-10-05 | キーパスコ アーベーKeypasco AB | Network authentication method for secure user identification information verification |
| KR101656212B1 (en) | 2015-02-13 | 2016-09-12 | 경일대학교산학협력단 | system for access control using hand gesture cognition, method thereof and computer recordable medium storing the method |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH11353280A (en) * | 1998-06-10 | 1999-12-24 | Hitachi Ltd | Identity verification method and system by encrypting secret data |
| KR101827338B1 (en) * | 2017-02-28 | 2018-02-08 | 삼성전자주식회사 | Method and apparatus providing for internet service in mobile communication terminal |
-
2019
- 2019-09-16 KR KR1020190113354A patent/KR102274132B1/en active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101520722B1 (en) | 2014-01-17 | 2015-05-21 | 크루셜텍 (주) | Method, server and user device for verifying user |
| JP2015176167A (en) | 2014-03-13 | 2015-10-05 | キーパスコ アーベーKeypasco AB | Network authentication method for secure user identification information verification |
| KR101656212B1 (en) | 2015-02-13 | 2016-09-12 | 경일대학교산학협력단 | system for access control using hand gesture cognition, method thereof and computer recordable medium storing the method |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20230056203A (en) * | 2021-10-20 | 2023-04-27 | 주식회사 한글과컴퓨터 | Scheduling apparatus performing scheduling to allocate format conversion tasks of document files, based on the status of a plurality of format converting servers, and the operating method thereof |
| KR102545266B1 (en) | 2021-10-20 | 2023-06-20 | 주식회사 한글과컴퓨터 | Scheduling apparatus performing scheduling to allocate format conversion tasks of document files, based on the status of a plurality of format converting servers, and the operating method thereof |
Also Published As
| Publication number | Publication date |
|---|---|
| KR20210032088A (en) | 2021-03-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6882254B2 (en) | Safety verification methods based on biological characteristics, client terminals, and servers | |
| KR102274132B1 (en) | User authentication server that performs verification of electronic signature data generated based on biometric authentication in association with a plurality of verification servers and operating method thereof | |
| US10680808B2 (en) | 1:N biometric authentication, encryption, signature system | |
| JP4996904B2 (en) | Biometric authentication system, registration terminal, authentication terminal, and authentication server | |
| JP6238867B2 (en) | Sequential biometric cryptographic system and sequential biometric cryptographic processing method | |
| US20130262873A1 (en) | Method and system for authenticating remote users | |
| US9485098B1 (en) | System and method of user authentication using digital signatures | |
| WO2012042775A1 (en) | Biometric authentication system, communication terminal device, biometric authentication device, and biometric authentication method | |
| US11227037B2 (en) | Computer system, verification method of confidential information, and computer | |
| WO2016128906A1 (en) | Systems and methods for securely managing biometric data | |
| CN112329519B (en) | Safe online fingerprint matching method | |
| CN105553926A (en) | Authentication method, server, and terminal | |
| CN103368954A (en) | Smart card registration entry method based on password and biological characteristics | |
| Martínez et al. | Secure crypto-biometric system for cloud computing | |
| CN114245374B (en) | Security authentication method, system and related equipment | |
| CN102354354A (en) | Information fingerprint technique based picture password generation and authentication method | |
| KR102149706B1 (en) | Digital signature based user authentication processing apparatus using block chain and operating method thereof | |
| WO2021070275A1 (en) | Information collation system and information collation method | |
| CN115278673B (en) | Lightweight biological authentication method and system based on combined biological recognition | |
| JP4606040B2 (en) | Qualification authentication system, qualification authentication method, and information processing apparatus | |
| US11075760B1 (en) | Utilizing voice biometrics to generate a secure digital identity for a user without access to technology | |
| JPWO2020121459A1 (en) | Authentication system, client and server | |
| JP7632477B2 (en) | Recovery verification system, collation system, recovery verification method and program | |
| JP6370459B2 (en) | Sequential biometric cryptographic system and sequential biometric cryptographic processing method | |
| EP3745289A1 (en) | Apparatus and method for registering biometric information, apparatus and method for biometric authentication |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PA0109 | Patent application |
Patent event code: PA01091R01D Comment text: Patent Application Patent event date: 20190916 |
|
| PA0201 | Request for examination | ||
| PG1501 | Laying open of application | ||
| E701 | Decision to grant or registration of patent right | ||
| PE0701 | Decision of registration |
Patent event code: PE07011S01D Comment text: Decision to Grant Registration Patent event date: 20210625 |
|
| PR0701 | Registration of establishment |
Comment text: Registration of Establishment Patent event date: 20210701 Patent event code: PR07011E01D |
|
| PR1002 | Payment of registration fee |
Payment date: 20210701 End annual number: 3 Start annual number: 1 |
|
| PG1601 | Publication of registration | ||
| PR1001 | Payment of annual fee |
Payment date: 20240724 Start annual number: 4 End annual number: 4 |